[閒聊] 不要再中勒索軟體了(+EMET說明,有用的請看)

作者: brianuser (產業廢棄物)   2016-03-08 19:02:25
一陣子沒見到災情,
最近又有點死灰復燃的感覺,所以想丟一點撇步供參考。
1. Email 附檔盡量不要開
除了可執行檔,尤其 js、vbs、shs、bat 這類指令碼變種、加密非常多樣化,
防毒軟體常常偵測不到。不要以為 js 只是純文字就認為安全,
js 這種東西點兩下打開的不是記事本不是瀏覽器,是從背景跑 wscript 自動
從網站下載惡意程式執行,看都看不到,防不慎防。
* 再補一個,Office 系列檔案有巨集的也很危險,不要傻傻的就去點「啟用巨集」。
2. 你需要漏洞防護
「我明明什麼都沒點啊,逛逛網站怎麼還是中標!」
因為你的 Windows 有洞、IE 有洞、Flash 有洞、Java 有洞…通通都是洞,
它就是有辦法做到讓你一邊上網一邊自動下載執行惡意程式。
微軟免費提供的 EMET 能替一些常用的 Windows 程式加點額外保護。
即使如此也不要忘記隨時保持軟體最新版本或者乾脆關掉千瘡百孔的 Flash。
有些防毒軟體也提供這種功能,那就不用另備了不然可能會打架自爆。
Malwarebytes 也提供免費的 Anti-Exploit,選一個裝就好。
運氣好時它們能阻止漏洞被利用,所以惡意程式不會被執行,
但是它們不能「阻止勒索軟體」,你要是手賤硬要執行它們是不會擋的。
比如說單純一個木馬連結,出現問你要下載還是執行這種不會擋。
不怕麻煩的再找個沙盒之類的會更安全 (…但就是麻煩)
3. 我用 Mac OS 無敵對不對?
壞消息是: Mac OS 的勒索軟體已經出爐了。
最近有個叫 KeRanger 的勒索軟體混入 Mac OS BT 客戶端 Transmission。
http://gigazine.net/news/20160307-first-os-x-ransomware/
4. 我有裝防火牆耶,為什麼還是中標
防火牆有在設規則嗎?還是全自動好方便?或是跳什麼通通允許?
我是覺得懶人型防火牆根本沒有用 (不過有些有配合檔案信譽的就好多了)
像 Windows 防火牆預設只阻止連入連線,程式愛怎麼鑽他是完全不會擋的。
再舉一個我購入的 G DATA 防火牆預設的 Autopilot 像屎一樣,
美意是自動判斷,但結果就是什麼都自動允許,
我連拿木馬、拿廣告來測通通都是自動允許,到底請你來做什麼?
自建規則亂設也不行,我之前為了玩遊戲就設成允許 Domain Service,
結果新增的規則是 svchost.exe 通通允許。偏偏勒索軟體最愛 svchost.exe,
注入後隨便你下載、開後門、跑加密等壞事,它就是這麼神奇。
有些看來像是私人作品的勒索軟體根本連連線都不連線,
也不拐彎抹角行為一堆搞注入搞開機啟動,而是直接就狂讀狂寫,
跑加密直接霸氣留 Email 要你直接來找,防火牆不見得有用。
5. 我有防毒,小紅傘喔,是不是很安全呢
小紅傘的行為防護是0是0是0。
很重要所以要說三遍。你就算用付費版也還是0,掃不到就是中獎。
論執行後的防禦我覺得小紅傘搞不好還比 Windows Defender 差。
當然不是說有什麼主動防禦、行為防護、HIPS…blahblah 就是我無敵我高枕無憂,
但是勒索軟體的行為總有固定模式 (雖然一直在變),
防毒軟體廠商也一直在更新規則希望能擋下來,多一層保護總是比較好。
像卡巴斯基好不只是好在他的掃描和他的雲端檔案信譽,
最重要的還有他的系統監控和應用程式控制,而這也是一些免費軟體欠缺的。
工商連結
漏洞防護:
Microsoft EMET
https://support.microsoft.com/zh-tw/kb/2458544
Malwarebytes Anti-Exploit
https://www.malwarebytes.org/antiexploit/
注意 不要同時裝多套,簡單的 EMET 設定附在文章後面了
用 EMET 的一定要設一下,不然預設的保護項目不多
自稱可以防勒索的軟體:
Hitman.Pro Alert (這款是公認的強大,也包括漏洞防護了,但是要付費)
http://www.surfright.nl/en/alert
Malwarebytes Anti-Ransomware (BETA測試版,小心使用)
http://tinyurl.com/jh59xap
BitDefender AntiCryptoLocker
http://bit.ly/Cryptolocker
其實都是老調重彈。
另外我自己沒有中標經驗,也沒有精實的電腦知識,
有什麼不對的請盡量批評補充。
作者: BITMajo (BITMajo)   2016-03-08 19:41:00
同樣沒中過推,主動離線備份最實在
作者: gamesame7711 (框框愛安安)   2016-03-08 20:10:00
很早就把flash關閉 凡是要看的 都手動打開看twitch 等 會有點不方便 但至少安心一些
作者: a3861527 (Carlisle)   2016-03-08 21:44:00
推一個 我只有裝小紅傘 到現在一個都沒中過 廣告和一些可疑連結不要亂點幾乎八成的病毒都不會中
作者: miamodo   2016-03-08 21:55:00
LUA+SRP 或許也有點作用
作者: munsimli (口嫌體正直)   2016-03-08 22:23:00
請問一下Anti-Exploit是否能有效阻擋利用網頁植入病毒、網頁廣告病毒與勒索軟體等透過網頁植入的管道呢?
作者: chungyiju (海-綿-寶-寶)   2016-03-08 22:26:00
推~
作者: masterliy (主任)   2016-03-08 23:33:00
重點是,每個中獎的人都哭訴資料很重要,但我納悶的是很重要怎麼不備份……我覺得除了原po你說的部分,更要建立“正確”的備份觀念,我看不少人覺得把檔案從c槽複製到d槽就是備份…花個幾千塊買隨身硬碟或網路硬碟真的比起全部的努力遺失還要便宜太多了
作者: BITMajo (BITMajo)   2016-03-08 23:41:00
不懂電腦的人常常對C槽D槽沒概念啊...至於隨身硬碟,可能很多人對隨身碟的印象不太好ex:容易中毒or資料常不見所以沒想到隨身硬碟是個簡單又可靠的備份方式吧
作者: fish0112 (魚)   2016-03-08 23:58:00
外接硬碟備份別一直插著...有很多人都...
作者: BITMajo (BITMajo)   2016-03-09 00:03:00
插著對電腦來說就跟內接硬碟一樣啦
作者: munsimli (口嫌體正直)   2016-03-09 00:11:00
我是用網路空間備份,檔案有增減或修改時才會上線同步,平常時PC端程式不會一直開著,不過現在網頁內藏病毒那麼頻繁,有沒強烈建議哪隻程式防這塊很有效的呢?
作者: whotear (~微風香水~)   2016-03-09 00:35:00
推優文
作者: SCLPAL (看相的說我一臉被劈樣)   2016-03-09 00:41:00
最近老板電腦才中這...很怕他哪個公事隨身碟沒弄乾淨,就..
作者: KCKCLIN (新的開始)   2016-03-09 00:47:00
~"~有些人說只瀏覽網頁就中鏢了耶
作者: munsimli (口嫌體正直)   2016-03-09 02:39:00
是呀~瀏覽網頁的中獎案例會讓人覺得這方面的防護很重要除了開版大的訓提供外,也期待有其他高手的專業推薦了
作者: louis925 (稚空)   2016-03-09 07:14:00
漏了一個重點,Adobe Acrobat 也是有漏洞的一定要更新
作者: go1717 (go一起一起當神)   2016-03-09 07:31:00
怕的話就用2台電腦 另一台專門用來還原就好 2台不要互聯區網 帳密不重複登入 這是目前最棒的辦法
作者: HELLDIVER (Ζzz...)   2016-03-09 22:58:00
我用的是付費版小紅傘 某些小廣告連結會出現警示訊息雖然不太確定是基於什麼理由擋就是 (訊息回報?)
作者: likeus (Brand)   2016-03-10 09:32:00
推! Flash和JAVA外掛早就砍了 已經過時
作者: chang0206 (Eric Chang)   2016-03-10 10:18:00
講了很多,但是有啥用?過幾天還是一堆文章說中了然後問怎麼辦,要不要付錢,備份檔案移到其他電腦會不會也感染?
作者: NeoBelfort (HouseofCards)   2016-03-10 16:44:00
想請教最新版chrome,ff的內建的pdf會有漏洞嗎?
作者: aeolus0829 (阿洽)   2016-03-11 15:14:00
覺的會中的還是會中 沒中都不知道痛 囧rz
作者: abram (科科)   2016-03-11 23:56:00
借問一下Anti-Exploit禁止開啟ptt上的連結 如何開放呢
作者: sam613 (Hikaru)   2016-03-12 09:46:00
掛EMET當掉會顯示哪個功能造成的,可以取消勾選,不過通常是程式太老舊或是真的中毒造成
作者: abram (科科)   2016-03-12 10:28:00
謝謝! 原來是免費版無法自訂要保護的程式 沒關係我只試用真的逛些下載論壇還不會中毒之後 再考慮購買
作者: abramtw (世界原來是如此耀眼啊)   2016-03-12 16:59:00
Ok, 謝謝你的建議哦!
作者: munsimli (口嫌體正直)   2016-03-12 19:22:00
這幾天安裝了Malwarebytes Anti-Exploit與Hitman.Pro Alert付費版,都可以保護瀏覽器、Office、PDF與Media Player,H牌多了防側錄、防網路攝影機盜錄與勒索軟體防護等功能,另H牌只能保護透過安裝程序的瀏覽器,免安裝方式的瀏覽器就無法防護囉,簡單測試心得那請問是怎麼發現的呢? 防毒軟體的主防還是?
作者: brianuser (產業廢棄物)   2016-03-12 21:57:00
我無聊去抓的,主防也不見得有用
作者: munsimli (口嫌體正直)   2016-03-13 00:20:00
主防+掃毒+漏洞更新與防護+瀏覽習慣+備份,這幾個步驟都做了還中獎實在是很倒楣,可是不做也不行啊~還有別亂點連結與亂開檔案
作者: sarah946422 (雨霏)   2016-03-13 22:01:00
實用 想請問如果有卡巴又裝EMET會打架嗎?
作者: brianuser (產業廢棄物)   2016-03-13 22:21:00
(答非所問)卡巴系統監控已有弱點入侵防護,不需要EMET
作者: miamodo   2016-03-13 22:38:00
剛下載的樣本加密速度極快,雙擊即開始加密.
作者: brianuser (產業廢棄物)   2016-03-13 22:56:00
虛擬機W1064bit10240+KIS1600614a+EMET5.5平時是沒有當版本有點舊但我懶得更新,卡巴更新超慢的
作者: munsimli (口嫌體正直)   2016-03-14 17:46:00
弱弱的問一下,是否將被改過副檔名的檔案再改回原本正確的副檔名就可以呢? 利用人性恐懼的心理再用一個小伎倆來詐取錢財,各家大廠真的會去重視這種不算病毒的病毒嗎?
作者: werrty (ART)   2016-03-14 19:23:00
mac 的勒索病毒是別人開放原始碼說病毒可以這樣寫結果真的招有心人士寫成KeRanger病毒感染transmission現在transmission已經放上乾淨版 至於中了還是中了...
作者: ids93216 (如果)   2016-03-16 13:45:00
我是直接重要資料丟NAS備份完就關機Dropbox和GD也是全部跟NAS定期同步完就關機防不了病毒,至少檔案加減能有備份
作者: a5245242003 (elbert)   2016-03-17 19:01:00
感謝教學文

Links booklink

Contact Us: admin [ a t ] ucptt.com